Explorer.exe是不是病毒?

来自Wenbanzhu
跳转至: 导航搜索

待解问题.png 问题

Explorer.exe是不是病毒?.jpg
--Eva 2010年3月3日 (三) 12:04 (CST)

问题具体描述:系统进程中有explorer.exe,请问是不是病毒?


最新回答.png 回答

介绍

Explorer.exe可能是病毒。Explorer.exe的两种存在形式

一、Windows 资源管理器:explorer.exe是Windows程序管理器或者Windows资源管理器,它用于管理Windows图形壳,包括开始菜单、任务栏、桌面和文件管理,删除该程序会导致Windows图形界面无法适用。

二、病毒:explorer.exe也有可能是w32.Codered等病毒。该病毒通过email邮件传播,当打开病毒发送的附件时,即被感染,会在受害者机器上建立SMTP服务,允许攻击者访问你的计算机、窃取密码和个人数据。

Explorer.exe病毒的介绍

文件名称:EXPLORER.EXE

病毒名称:Virus.Win32.VB.bu(卡巴斯基)、Win32/VB.NHZ 蠕虫(NOD32)、Trojan.PSW.SBoy.a(瑞星)、 Trojan/PSW.Jianghu.ei(江民)

技术分析:病毒窗体标题为“三好学生”,源代码工程名为EXPLORER.VBP,通过U盘传播,运行后注入EXPLORER.EXE进程,并试图盗取以下游戏帐号和更改注册信息:

  • 盗取的账号一般有:Warcraft III、Counter-Strike、NFS Underground 2、Crazy Arcade、O2-JAM、PopKart Client、YB_OnlineClient、legend of mir2、CTRacer Client、Audition、gprs5.com、RQRONLINE、QQGame。

  • 添加注册表自启动项:将注册表中[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]、wsctf.exe=%System32%\wsctf.exe、explorer.exe=%System32%\explorer.exe更改[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WINLOGON]、键值为USERINIT.EXE,EXPLORER.EXE,搜索并复制文件wsctf.exe、EXPLORER.EXE到移动硬盘,生成AutoRun.inf文件内容为:

  [autorun]

  OPEN=EXPLORER.EXE

  shell\open=打开(&O)

  shell\open\Command=EXPLORER.EXE

  shell\open\Default=1

  shell\explore=资源管理器(&X)

  shell\explore\Command=EXPLORER.EXE

清除Explorer.exe病毒

手动清除的步骤如下:

  1. 中毒的电脑在进入XP系统的时候,会看不到界面,然后用Alt+Ctrl+Del进入任务管理器,你会发现CPU的使用率一直保持在100%上下,而且有两个EXPLORER.EXE进程(其中一个是正常进程,是系统调用的。若不能区别,可把两个进程都结束掉,再“切换到-应用程序-新任务-浏览-选择”C:WINDOWS“文件夹下的explorer.exe,然后打开就可以重启系统的EXPLORER.EXE进程),还有一个可疑进程wsctf.exe.关了这两个后,能进入操作界面,但病毒还没清理干净。
  2. 用杀毒软件杀毒,会发现这两个病毒位于”C: WINDOWSsystem32“,病毒名为”Trojan.PSW.SBoy.a/b“。很多杀毒软件并不能杀除。
  3. 由于重启后病毒还在而且进不了系统,可以推断病毒很大可能就在启动项里面,重复第一步,进入系统后,“开始-运行-msconfig”,把这两个名字的复选框解除,确定后选择“退出而不重启”。
  4. 我的电脑-工具-文件夹选项-查看-解除”隐藏受保护的操作系统文件“复选,在弹出的对话框中按”是“,然后再选择”显示所有文件和文件夹“,进入”C:WINDOWSsystem32“-删除掉文件夹里面的wsctf.exe和EXPLORER.EXE两个文件(如果删除不了可以更改其后缀名为。txt 再将其删除)。
  5. 开始-运行-regedit,按确定后打开注册表。进入HKEY_CURRENT_USER SoftwareMicrosoft WindowsCurrentVersionRun目录,右键删除掉wsctf.exe和EXPLORER.EXE两条记录。进入 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon,可以看到键值项Userinit,其值为userinit.exe,EXPLORER.EXE,双击Userinit将中间的逗号和 EXPLORER.EXE删除。
  6. 重启电脑。

提示

  • explorer.exe常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。
  • explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:\Windows”目录,除此之外则为病毒(仅适用XP系统)。
  • 这里推荐两款软件:Unlocker和冰刃(冰刃有一定的危险,电脑新手使用对系统会有不可逆转的损害,新手使用时要格外小心,并且做好备份)。它们都能轻松的删除顽固的防删文件,冰刃也是一款威力强大的清理软件,配合使用,基本没有什么文件是删不掉的。


明星版主.png 版主: 本页回答由版主“Ly651686474”负责,您可以查看Ly651686474介绍和编辑或者给Ly651686474留言


分类浏览.png 分类电脑|是什么|explorer|进程|病毒

讨论.png 讨论

关于“Explorer.exe是不是病毒?”的留言:

目前暂无留言

新增相关留言